参考链接
IPv6-to-IPv6 Network Address Translation (NAT66) (ietf.org)
https://datatracker.ietf.org/doc/id/draft-mrw-nat66-00.html
IPv6 NAT66
NAT66,全称为Network Address Translation for IPv6 to IPv6,是一种用于IPv6网络的地址转换技术。在IPv6网络中,每个设备都被分配一个全局唯一的IPv6地址,这样的地址长度为128位。NAT66的作用是通过将内部设备的IPv6地址映射到另一组IPv6地址来实现地址转换,使得内部设备可以访问外部网络,同时保护内部网络的真实IPv6地址不被外部直接暴露。
NAT66的原理
NAT66的工作原理与IPv4的NAT类似,但是针对IPv6地址空间进行了适配。
地址转换
当内部IPv6设备尝试访问外部网络时,NAT66会将内部设备的源IPv6地址转换为一个或多个预定义的全局IPv6地址,以便与外部网络通信。这些预定义的全局IPv6地址通常是ISP分配给企业或家庭网络的一部分地址池。
端口映射
类似于IPv4 NAT中的端口映射,NAT66还可能涉及到端口的映射,以确保内部设备与外部网络的通信能够正确地建立和维护。
状态跟踪
NAT66通常需要维护一个状态跟踪表,以跟踪内部设备与外部网络之间的通信会话。这个状态跟踪表记录了内部设备的IPv6地址、端口号以及转换后的全局IPv6地址等信息,以确保数据包能够正确地被转发和接收。
NAT66主要作用
地址保护
NAT66隐藏了内部网络设备的真实IPv6地址,使得外部网络无法直接访问内部设备,提高了网络的安全性。
IPv6地址空间扩展
与IPv4不同,IPv6拥有更广阔的地址空间,但在一些情况下,NAT66仍然可以帮助扩展IPv6地址空间,特别是在企业网络或ISP网络中,通过将内部设备的地址映射到有限的全局IPv6地址池中,可以更有效地管理地址资源。
路由简化
NAT66可以简化IPv6网络的路由配置,尤其是在涉及到多个内部网络的情况下,通过NAT66,内部网络可以共享少量的全局IPv6地址,而无需为每个内部网络分配大量的全局IPv6地址。
NAT66的实现方式
NAT66可以通过多种方式来实现,主要包括静态NAT66和动态NAT66。
静态NAT66
静态NAT66是一种一对一的地址映射方式,通过预先配置内部设备的IPv6地址与全局IPv6地址之间的映射关系,实现内部设备与外部网络的通信。静态NAT66的优点是配置简单、安全可控,但是对于大规模部署来说,管理和维护成本较高。
动态NAT66
动态NAT66是一种动态分配全局IPv6地址的方式,内部设备在访问外部网络时动态获取全局IPv6地址,并且在通信结束后释放该地址。动态NAT66能够更好地利用地址资源,但需要一定的状态管理机制来维护地址分配和释放的状态。
NAT66的优缺点
-
优点
- 增强了IPv6网络的安全性,隐藏了内部设备的真实IPv6地址,防止外部攻击。
- 帮助扩展IPv6地址空间,减轻了IPv6地址短缺的问题。
- 简化了IPv6网络的路由配置,提高了网络管理的效率。
-
缺点:
- 可能引入一定的网络延迟和性能损耗,特别是在动态NAT66中,需要维护地址分配和释放的状态。
- 对于某些应用程序来说,NAT66可能会引入一定的复杂性和不确定性,例如对于P2P应用程序来说,NAT66可能会导致连接问题。
NAT66实例说明
NAT66 可以在 IPv6 路由器中实施,以映射一个 IPv6 地址前缀添加到另一个 IPv6 地址前缀,因为每个IPv6数据包都会通过 路由器。实现 NAT66 功能的路由器称为 NAT66 设备。
在最简单的形式中,一个 NAT66 设备将连接到两个网络 链接,其中一个是附加到叶的“内部”网络链接 network 中的网络,以及另一个 是连接到全球 Internet 的“外部”网络。 内部网络上的所有主机都将使用来自 单个本地路由的前缀,这些地址将被转换 在 IP 数据包传输时,以全局可路由前缀中的收件人/发件人地址 NAT66 设备。
下图显示了连接到两个网络的 NAT66 设备。 在此示例中,内部网络使用 IPv6 唯一本地地址 (ULA)[来表示内部 IPv6 节点,外部网络使用全局可路由的 IPv6 addresses 来表示相同的节点。
External Network: Prefix = 2001:0DB8:0001:/48--------------------------------------||+---------+| NAT66 || Device |+---------+||--------------------------------------Internal Network: Prefix = FD01:0203:0405:/48
当 NAT66 设备沿“出站”方向转发数据包时,从内部网络到外部网络,NAT66会覆盖IPv6源地址(在IPv6报头中)和相应的地址 从外部前缀。当数据包在 “inbound” 中转发时 方向,从外部网络到内部网络,IPv6 目标地址被 internal 前缀。使用上图所示的前缀作为 IP 数据包在出站方向通过 NAT66 设备, 源地址前缀 (FD01:0203:0405:/48) 将被 外部地址前缀 (2001:0DB8:0001:/48)。在入站 packet,则目标前缀 (2001:0DB8:0001:/48) 将为 用内部网络前缀 (FD01:0203:0405:/48) 覆盖。在 在这两种情况下,都是被覆盖的本地 IPv6 地址;这 远程 IPv6 地址保持不变。内部网络上的节点 据说位于 NAT66 设备的“后面”。
NAT66 也可以在两个专用网络之间使用。在这些的情况下,两个网络都可以使用 ULA 前缀,每个子网都位于一个 network 映射到另一个网络中的相应子网,以及反之亦然。或者,每个网络都可以将 ULA 前缀用于内部寻址和全
Internal Prefix = FD01:4444:5555:/48--------------------------------------V | External PrefixV | 2001:0DB8:6666:/48V +---------+ ^V | NAT66 | ^V | Device | ^V +---------+ ^External Prefix | ^2001:0DB8:0001:/48 | ^--------------------------------------Internal Prefix = FD01:0203:0405:/48
用网络之在某些情况下,多个 NAT66 设备可能会连接到 网络。在这些情况下,NAT66 设备可以配置 相同的内部和外部前缀,或者它们可以被配置 具有相同的内部前缀和不同的外部前缀。
External Network: Prefix = 2001:0DB8:0001:/48--------------------------------------| || |+---------+ +---------+| NAT66 | | NAT66 || Device | | Device || #1 | | #2 |+---------+ +---------+| || |--------------------------------------Internal Netowrk: Prefix = FD01:0203:0405:/48
External Network #1: External Network #2: Prefix = 2001:0DB8:0001:/48 Prefix = 2001:0DB8:5555:/48 --------------------------- --------------------------| || |+---------+ +---------+| NAT66 | | NAT66 || Device | | Device || #1 | | #2 |+---------+ +---------+| || |--------------------------------------Internal Netowrk: Prefix = FD01:0203:0405:/48
